网络安全研究人员在交通灯控制器中暴露了一个关键的脆弱性,这可能使攻击者能够破坏交通流量并可能产生僵局。
发现的无抵押交通信号灯系统
红色威胁的研究人员安德鲁·莱蒙(Andrew Lemon)发表了他的发现在研究了各种流量控制器模型的安全性之后。
发现一种设备,即X-1,发现有明显的安全缺陷- 完全缺乏其Web界面身份验证。从本质上讲,这可以授予任何具有互联网访问的人对连接的交通信号灯的全面控制。
尽管柠檬无法复制好莱坞在十字路口转动所有灯光的场景(由于机制故障机制),但他发现了更令人担忧的可能性。
根据柠檬,可以操纵光线。他说,可以通过这种现实的拒绝服务(DOS)攻击来产生巨大的果酱。
除此之外,他告诉TechCrunch想象一个场景,即交通信号灯设置为一个方向绿色三分钟,然后在另一个方向上进行三秒钟。
柠檬说:“我只是难以置信。我只是震惊的是,可能会错过的东西。”
这种脆弱性的程度仍然不清楚。 Lemon和他的团队确定了大约30个Intelight设备在线访问,但总数仍然未知。
研究人员对法律威胁沉默了?
Lemon试图向拥有Intelight的公司负责任地报告缺陷,并产生了令人震惊的回应。没有解决问题,而是给他发了一封法律信。
这封信声称肠道X -1不再出售,研究可能违反《计算机欺诈和滥用法》(CFAA) - 尽管没有提供有关假定违规行为的具体细节。
Q无Q进一步向柠檬施加压力,要求其扣留他的发现,理由是潜在的国家安全问题和对红色威胁的潜在责任。柠檬说,黑客似乎对使他沉默的兴趣比解决这个问题更感兴趣。
Q免费尚未回应置评请求。
超越肠子:整个行业的关注点
Lemon的研究还发现了Econolite生产的交通控制器设备中的潜在漏洞。这些设备利用NTCIP协议,该协议是具有已知安全弱点的行业标准。对于裸露的设备,攻击者可能会操纵诸如光周期持续时间之类的设置,甚至可以触发整个交叉路口的同步闪烁。
Econolite确认了这个问题,但声称受影响的设备已过时,并建议用户升级到较新的型号。他们还强调了适当的网络安全措施的重要性,并限制了从开放式互联网上访问关键基础架构的重要性。
要点:有风险的关键基础设施
该事件突出了有关现实的一个事件 - 对我们的运输网络至关重要的交通信号灯系统容易受到网络攻击的影响。
柠檬的发现敦促制造商和用户对交通管制系统的有效安全措施进行优先级。立即采取行动对于保护我们的基础设施免受潜在破坏并确保流量流畅流动至关重要。
